Nächste Seite: Deaktivierung von SELinux für Aufwärts: SELinux für Einsteiger Vorherige Seite: Erweiterung der Policy Inhalt
Wie unterscheiden sich nun die Policies? Grundsätzlich überwacht bei allen Policies SELinux den gesamten Rechner und alle Prozesse. Grundsätzlich gilt auch bei der Targeted-Policy, dass jeder Zugriff, der nicht explizit erlaubt wird, von SELinux unterbunden wird. Jedoch verfügt die Targeted-Policy über eine besondere Domäne unconfined_t. Jeder Prozess, der diese Domäne verwendet, hat fast uneingeschränkten Zugriff auf das System. Bei der Targeted-Policy werden nur bestimmte Dienste in eigenen Domänen gestartet. Diese Domänen erlauben dann nur die von den Diensten tatsächlich benötigten Zugriffe. Sobald ein Benutzer sich lokal an dem System anmeldet, wird ihm die Domäne unconfined_t zugewiesen und er wird von SELinux nicht wesentlich eingeschränkt. Benutzerspezifische Domänen wie user_t oder sysadm_t gibt es bei der Targeted-Policy nicht. Auch weisen die unterschiedlichen Benutzer nicht unterschiedliche Rollen auf, sondern verwenden alle die Rolle system_r. Die Targeted-Policy stellt so sicher, dass die exponierten Dienste von SELinux überwacht und das System vor deren Fehlverhalten geschützt wird, aber die Funktion des System für authentifizierte Benutzer nicht weiter eingeschränkt wird. Der authentifizierte Benutzer wird als vertrauenswürdig eingestuft. Seine Überwachung erfolgt nur über die üblichen Linux-Rechte (DAC).
In einer gewissen Weise ähnelt die Targeted-Policy dem Ansatz von AppArmor. Dies wird von den AppArmor-Entwicklern auch immer wieder angeführt. Dennoch darf man nicht vergessen, dass auch im Targeted-Modus SELinux wesentlich mächtiger ist und immer noch zum Beispiel den Informationsfluss der Daten überwachen kann.